Active Directory ドメインとの統合

Tenable Identity Exposure は、Active Directory (AD) ドメインに接続する Microsoft Server オペレーティングシステム上で実行されます。以下に、これらのサーバーを AD ドメインに接続するべきかどうかを決めるガイドラインを示します。

• Tenable Identity Exposure は機密性の高いセキュリティ情報を提供するため、Tenable はサーバーを AD ドメインに参加させることを推奨していません。実際、隔離された環境で稼働させることで、監視対象の境界と監視する側のエンティティ (Tenable Identity Exposure など) を明確に分離できます。この設定にすれば、監視対象のドメインに初めてアクセスするまたは限定的な特権を持つ攻撃者が、Tenable Identity Exposureとそのセキュリティ分析結果に直接アクセスすることはできません。

• 信頼できるインフラがあるなら、ドメインに参加しているサーバー上で Tenable Identity Exposure を実行することを選ぶこともできます。このアプローチは、ドメインに参加している各サーバーに対して使用する通常プロセスの一環としてサーバー管理ができるので、サーバー管理が向上します。特に Tenable Identity Exposure サーバーは、他の企業サーバーと同じ強化ポリシーを適用します。Tenable では、このアーキテクチャを安全な AD 環境でのみ使用することを推奨しています。また、AD が侵害された場合に生じる次のリスクを考慮する必要があります。

  • サーバー管理特権を持つ攻撃者が、Tenable Identity Exposureのデータ分析を使用して、システムを侵害する方法についてさらに情報を収集する可能性があります。

  • ドメインに参加しているサーバーのセキュリティポリシーにより、Tenable Support またはその認定パートナーに付与された管理アクセス権が禁止される可能性があります。

  • 攻撃によってセキュリティインシデントが隠され、Tenable Identity Exposureのセキュリティ監視が損なわれる可能性があります。